Los cinco principios de COBIT 5

• COBIT 5 es un marco de trabajo que

permite comprender el gobierno y la gestión
de las tecnologías de información (TI) de
una organización, así como evaluar el
estado en que se encuentran las TI en la
empresa.
 CONTROL OBJECTIVES FOR
INFORMATION AND RELATED
TECHNOLOGY
COBIT 5
 Control Objectives for Information
and related Technology o COBIT 5
• También se puede definir como un conjunto de
herramientas de soporte empleadas por los gerentes
para reducir la brecha entre los requerimientos de
control, los temas técnicos y los riesgos del negocio.

– Así, mediante COBIT 5 se puede desarrollar una política clara que

permite el control de las TI en la organización. La aplicación de este
marco incide especialmente en el cumplimiento regulatorio y ayuda a
incrementar el valor asociado al área de TI de la organización. Desde
su inicio, COBIT 5 ha evolucionado desde su uso para la auditoría de
TI, para luego pasar por el control, la gestión de TI, el gobierno de TI,
llegando a su versión actual que es un enfoque holístico de gobierno
corporativo de TI.
 Este marco de trabajo cuenta con cinco principios
que una organización debe seguir para adoptar la
gestión de TI:
• Satisfacción de las necesidades de los accionistas:
– se alinean las necesidades de los accionistas con los objetivos
empresariales específicos, objetivos de TI y objetivos habilitadores.
Se optimiza el uso de recursos cuando se obtienen beneficios con un
nivel aceptable de riesgo.

• Considerar la empresa de punta a punta:

– El gobierno de TI y la gestión de TI son asumidos desde una
perspectiva global, de tal modo que se cubren todas las necesidades
corporativas de TI. Esto se aplica desde una perspectiva "de punta
a punta" basada en los 7 habilitadores de COBIT.
 Aplicar un único modelo de
referencia integrado:
• COBIT 5 integra los mejores marcos de Information Systems
Audit and Control Association (ISACA) como Val IT, que
relaciona los procesos de COBIT con los de la gerencia
requeridos para conseguir un buen valor de las inversiones en
TI. También se relaciona con Risk IT, lanzado por ISACA para
ayudar a organizaciones a equilibrar los riesgos con los
beneficios.
– Se considera el uso de Business Model for Information Security
(BMIS) e IT Assurance Framework (ITAF). Además permite
alinearse con los principales estándares o marcos como
Information Technology Infrastructure Library (ITIL), The Open
Group Architecture Forum (TOGAF), Project Management Body
of Knowledge (PMBOK), PRojects IN Controlled Environments 2
(PRINCE2), Committee of Sponsoring Organizations of the
Treadway Commission (COSO) y estándares ISO.
 Posibilitar un enfoque holístico:
• Los habilitadores de COBIT 5 están
identificados en siete categorías que abarcan la
empresa de punta a punta. Individual y
colectivamente, estos factores influyen para
que el gobierno de TI y la gestión de TI operen
en función de las necesidades del negocio.

El holismo es una posición metodológica y

epistemológica que postula cómo los sistemas y sus
propiedades, deben ser analizados en su conjunto y
no sólo a través de las partes que los componen
Separar el gobierno de la gestión:
• COBIT 5 distingue con claridad los ámbitos del gobierno de TI
y la gestión de TI. Se entiende por gobierno de TI las funciones
relacionadas con la evaluación, la dirección y el monitoreo de las
TI. El gobierno busca asegurar el logro de los objetivos
empresariales y también evalúa las necesidades de los
accionistas, así como las condiciones y las opciones existentes. La
dirección se concreta mediante la priorización y la toma efectiva
de decisiones. Y el monitoreo abarca el desempeño, el
cumplimiento y el progreso en función con los objetivos
acordados. La gestión está más relacionada con la planificación,
la construcción, la ejecución y el monitoreo de las actividades
alineadas con la dirección establecida por el organismo de
gobierno para el logro de los objetivos empresariales.
• FUENTE CONSULTADA:
Todo lo que usted quería saber sobre
COBIT y no se animó a preguntar.
ISACA
– ISACA es el acrónimo de Information Systems Audit and Control
Association (Asociación de Auditoría y Control de Sistemas de
Información), una asociación internacional que apoya y
patrocina el desarrollo
de metodologías y certificaciones para la realización de
actividades de auditoría y control en sistemas de
información.
– ISACA fue fundada en el año 1967 cuando un grupo de auditores
en sistemas informáticos percibieron la necesidad de centralizar la
fuente de información y metodología para el área de operación.
Fue en 1969 que el grupo se formalizó a asociación, originalmente
incorporada como EDP Auditors Association.
– En 1976 el nombre pasó a ser ISACA, por el que es actualmente
conocida, y se estableció la primera certificación
profesional de auditoría de sistemas de información, o CISA.
 Situación actual
• ISACA actualmente atiende a unos 95.000 electores
(miembros y profesionales con certificaciones
ISACA) en unos 160 países.[cita requerida] Los cargos de
los miembros son tales como auditor, consultor,
educador, profesional de seguridad, regulador,
director ejecutivo de información y auditor interno.
Trabajan en casi todas las categorías de la industria.
Hay una red de capítulos de ISACA con 170
capítulos establecidos en 160 países.
• Los capítulos proporcionan educación y formación
constante, recursos compartidos, promoción,
creación de redes y otros beneficios.
 Hechos sobre ISACA
ISACA® (isaca.org) ayuda a los profesionales globales a liderar, adaptar
y asegurar la confianza en un mundo digital en evolución ofreciendo
conocimiento, estándares, relaciones, acreditación y desarrollo de
carrera innovadores y de primera clase. Establecida en 1969, ISACA es
una asociación global sin ánimo de lucro de 140 000 profesionales en
180 países. ISACA también ofrece Cybersecurity Nexus™ (CSX), un
recurso integral y global en ciberseguridad, y COBIT®, un marco de
negocio para gobernar la tecnología de la empresa. ISACA
adicionalmente promueve el avance y certificación de habilidades y
conocimientos críticos para el negocio, a través de las certificaciones
globalmente respetadas: Certified Information Systems
Auditor (CISA ), Certified Information Security Manager (CISM®),
® ® ®
Certified in the Governance of Enterprise IT® (CGEIT®) y Certified in Risk
and Information Systems Control™ (CRISC™). La asociación tiene más
de 200 capítulos en todo el mundo.
 Hechos sobre ISACA
• Son los custodios del framework COBIT;
• Son los creadores del ITGI (IT Governance Institute);
• Desarrollaron cuatro certificaciones profesionales:
• CISA - Certified Information Systems Auditor, certificación de
auditores de sistemas de información. Existen cerca de 90.000 personas
certificadas (2012);
• CISM - Certified Information Security Manager, certificación de
gestores de seguridad. Existen cerca de 16.000 personas certificadas;
• CGEIT - Certified in the Governance of Enterprise IT, certificación de
gestores de la gobernanza empresarial TI. Existen cerca de 4.600
personas certificadas (2007);
• CRISC - Certified in Risk and Information Systems Control,
certificación de gestores de control de riesgos en sistemas de
información. Existen cerca de 15.000 personas certificadas (2010).
 Historia y evolución de Cobit El
proyecto COBIT
• Se emprendió por primera vez en el año 1995, con el fin de crear un
mayor producto global que pudiese tener un impacto duradero sobre el
campo de visión de los negocios, así como sobre los controles de los
sistemas de información implantados. La primera edición del COBIT,
fue publicada en 1996 y fue vendida en 98 países de todo el mundo. La
segunda edición (tema de estudio en este informe) publicada en Abril
de 1998, desarrolla y mejora lo que poseía la anterior mediante la
incorporación de un mayor número de documentos de referencia
fundamentales, nuevos y revisados (de forma detallada) objetivos de
control de alto nivel, intensificando las líneas maestras de auditoría,
introduciendo un conjunto de herramientas de implementación, así
como un CD-ROM completamente organizado el cual contiene la
totalidad de los contenidos de esta segunda edición. COBIT ha tenido
cinco versiones principales: En 1996, la primera edición de COBIT fue
puesto en libertad. En 1998, la segunda edición añade "Directrices
para la gestión".
¿Qué es Cobit y para que sirve?
• COBIT fue creado para ayudar a las
organizaciones a obtener el valor óptimo de TI
manteniendo un balance entre la realización de
beneficios, la utilización de recursos y los niveles
de riesgo asumidos. COBIT 5 posibilita que TI
sea gobernada y gestionada en forma holística
para toda la organización, tomando en
consideración el negocio y áreas funcionales de
punta a punta así como los interesados internos
y externos. COBIT 5 se puede aplicar a
organizaciones de todos los tamaños, tanto en el
sector privado, público o entidades sin fines de
lucro.
 ¿Quién utiliza COBIT?
• COBIT es empleado en todo el mundo por
quienes tienen como responsabilidad
primaria los procesos de negocio y la
tecnología, aquellos de quien depende la
tecnología y la información confiable, y
los que proveen calidad, confiabilidad y
control de TI.
 ¿Qué ocurrió con los objetivos
de control en COBIT 5?
• Al basarse en 5 principios y 7 habilitadores,
COBIT 5 utiliza prácticas de gobierno y
gestión para describir las acciones que son
ejemplo de mejores prácticas de su
aplicación. COBIT 5 ha cambiado su
enfoque de objetivos de control a una visión
por proceso, descripta en detalle por uno de
los principales redactores del nuevo
estándar, Erik Guidentops, en su artículo
“Where Have All The Control Objectives
Gone?”.
 ¿Cuáles son los 5 principios de
COBIT 5?
• Satisfacer las necesidades del accionista
• Considerar la empresa de punta a punta
• Aplicar un único modelo de referencia
integrado
• Posibilitar un enfoque holístico
• Separar gobierno de la gestión.
 ¿Cuáles son los 7 habilitadores
de COBIT 5?
• Principios, políticas y modelos de
referencia
• Procesos
• Estructuras organizacionales
• Cultura, ética y comportamiento
• Información
• Servicios, infraestructura y aplicaciones
• Gente, habilidades y competencias.
¿Qué hay de la separación entre
Gobierno y Gestión?
• El gobierno asegura que los objetivos empresariales
se logran evaluando las necesidades de los
accionistas, las condiciones y opciones; establecer la
dirección a través de la priorización y la toma de
decisiones; y monitorear el desempeño, el
cumplimiento y el progreso versus la dirección y
objetivos acordados (EDM, por Evaluar, Dirigir,
Monitorear).
• Por su parte la gestión se ocupa de planificar,
construir, ejecutar y monitorear las actividades
alineadas con la dirección establecida por el
organismo de gobierno para el logro de los objetivos
empresariales (PBRM ó Planificar, Construir,
Ejecutar y Monitorear, por su sigla en inglés).
¿Es COBIT 5 un modelo superior a otros
modelos de control aceptados?
• La mayoría de los ejecutivos conocen la importancia de los marcos
generales de control en relación con la responsabilidad fiduciaria,
tales como COSO, Cadbury, CoCo, Sarbanes-Oxley. Sin embargo, no
necesariamente son conscientes del nivel de detalle de cada
uno. Por otro lado, los ejecutivos cada vez más conocen la
importancia de guías técnicas como ITIL (para la gestión de
servicios de TI) e ISO 27001 (para seguridad de información).
• Si bien estos estándares y modelos enfatizan el control del
negocio y la seguridad y servicio de TI, COBIT es el único que se
ocupa de los controles específicos de TI desde la perspectiva del
negocio. De hecho, COBIT 5 se basa en ISO/IEC 15504 e ITIL. No
se pretende que COBIT reemplace estos modelos de control, sino
lo que se destacan son los elementos de gobierno y gestión y las
prácticas necesarias para crear valor para la compañía.
 ¿Cuál es la forma más rápida y efectiva de presentar
COBIT a los ejecutivos?

• La cultura empresarial es de vital

importancia. Una cultura proactiva será más
receptiva que una que no lo es. Sin embargo, hay
que considerar el énfasis que COBIT hace en la
creación de valor para el accionista por estar
guiado por los objetivos del negocio, la
alineación con estándares internacionales
reconocidos y su simplicidad. Las áreas de
gobierno y gestión emanan de tan sólo 5
principios y 7 habilitadores.

– Fuente: https://www.isaca.org/pages/default.aspx